2024年,全球数据贩卖、勒索攻击等黑产事件大幅上升

2024年年初,Dark Angels勒索组织干了一票大的,勒索了某世界财富50强公司,获得了令人为之震惊的超高收益——7500万美元(约 5 亿 4000 万人民币),高于目前所有已知的赎金金额。

加密情报公司 Chainalysis 进一步证实了这一破纪录的支付方式,并在 X 平台上发布了推文。仅凭这一单产生的收益,Dark Angels勒索组织在2024年的净利润足以秒杀全球绝大部分网安上市公司,黑产的疯狂程度再一次被刷新。

一、2024年黑产事件持续攀升

Dark Angels勒索组织的历史性操作仿佛像是拉开了2024年以数据贩卖、勒索攻击为主的黑产事件的序幕。随着大量新兴技术(AI、漏洞、社工等)被攻击方熟练且复合使用,预计2024年黑产将超越2023年,甚至是2021年的高点。

据国内网安公司威胁猎人发布的《2024年上半年数据泄露风险态势报告》显示,2024年上半年监测有效的数据泄露事件较2023年下半年增长59.58%;监测到涉及真实数据泄露事件的黑产团伙较2023年下半年增长近一倍。

而从行业分布来看,2024年上半年数据泄露事件涉及85个行业,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。从区域、年龄、性别等维度来看,2024年上半年数据泄露人群最多的区域分别是:浙江、四川、广东;35-54岁占比最高达62%;女性占比最高达64%。

搞钱是黑产兴起最核心的原因。随着全球网络安全法规的持续完善,黑客因个人炫技而进行入侵的时代已经一去不复返,除政治需求外,当下黑客/黑产团队入侵企业的核心目的就是搞钱。

据国外知名咨询机构Verizon《2024年数据泄露调查报告》的数据显示,经济利益驱动下,高ROI的攻击手段备受青睐,攻击者愈发倾向使用能高投资回报率的攻击技术手段。其中最为严重的就是勒索攻击,占据高ROI攻击事件的近三分之二(59%至66%之间波动)。根据联邦调查局互联网犯罪投诉中心(IC3)勒索软件投诉数据显示,由勒索软件和其他勒索行为导致的损失成本中位数为4.6万美元,95%的案件金额不超过1141467美元。

黑产们最具典型性的攻击方法主要有两方面:一是窃取企业核心机密数据并对外出售获取利润,即数据贩卖;二是通过对系统、数据进行加密来勒索企业赎金,也就是我们常说的勒索攻击。

接下来,我们将重点分析2024年上述两种典型的黑产形式。

二、疯狂又专注的勒索软件攻击

2024年是勒索攻击异常泛滥的一年,呈现出越来越频繁的趋势。随着黑客组织不断更新和改进攻击策略和技术,衍生出 RaaS 勒索软件即服务,自动化、智能化、多重勒索等复合勒索攻击形态,使得勒索攻击的门槛不断降低,攻击频率持续上升,并逐渐成长为最具威胁的网络攻击之一。

1. 2024勒索攻击频率和赎金金额持续增长

据安全公司Orange Cyberdefense在7月发布的网络勒索报告Cy-Xplorer 2024,过去12个月,被勒索攻击的企业数据急剧增加,同比增长高达77%。分析师还表示,由于勒索生态系统处于动态变化中,实际被勒索的受害者数量将会更多。天际友盟《2024年上半年全球勒索软件报告》的数据也显示,监测到2024年上半年勒索软件攻击事件高达2300余起,远超其它网络攻击类型。

与此同时,勒索赎金方面,2024年也创下了新的记录。据Chainalysis公司发布的数据,上半年,勒索软件受害者向攻击者支付了超过 4.59 亿美元,较去年的4.491 亿美元增加了 1000 万美元。

赎金中位数也在不断上升。从头部勒索组织(2024年收到数据超过100万美元)来看,除了最高值(7500美元)外,赎金中位数金额也从2023 年的 198939 美元增加到 2024 年 6 月中旬的 150 万美元。而根据Sophos公司发布的一份报告数据显示,2024 年美国49 个州和地方政府实体支付的赎金中位数为 220 万美元,再次刷新记录。

上述这些数字透露出勒索攻击越来越疯狂的态势,其目标受众涵盖了大型企业到政府、医院、金融机构等基础设施。2024年第三季度的态势也印证了这一点,在全球发生了多起重大勒索软件攻击事件中,受影响最大的正是上述领域。这些行业往往无法承受长时间的业务停摆、核心数据泄露等带来的严重后果,其支付赎金的意愿更高,因为更易成为勒索组织眼中的香饽饽。

基于此,全球政府在2024年加大了对勒索组织的打击力度,其中最典型、最活跃的Lockbit3被重点打击。2024年2月,美国、英国、法国等11个国家联合发起了代号为“克罗诺斯”的执法行动,号称取得了显著成果,包括识别并移除了超过1.4万个恶意账户,逮捕了两名Lockbit附属机构成员,查获了34台包含源代码、被攻击受害者详情、勒索赎金、被盗数据、聊天记录等内部信息的服务器等。

但实际情况却并非如此,Lockbit3勒索组织短时间内再次复苏,启用了全新的数据泄露网站,并直接发布了106个受害企业的数据,再次成为活跃的头部勒索组织。与之对应的是,新兴勒索组织不断涌现,2024年RansomHub、Hunters International、Qilin等勒索组织短时间内迅速崛起,对全球多个行业造成了严重影响。

其中,RansomHub自2024年2月以来,至少对210个目标实施了加密和数据泄露攻击;Hunters International的目标范围集中在医疗和教育领域,涉及美国、欧洲、加拿大和日本等国家;Qilin则更青睐勒索软件即服务(RaaS)模式,针对不同行业的组织进行定制化攻击。

2. 大猎杀和机会主义

在勒索攻击策略方面,2024年也出现了较为明显的变化。FreeBuf通过分析行业数据发现,当前勒索组织普遍采取“大猎杀”与“机会主义”两种策略进行攻击。

“大猎杀”策略最受头部勒索组织青睐。例如文章开头提及的Dark Angels勒索组织采取典型的“大猎杀”策略,即仅针对少数高价值公司发起攻击,以获取巨额赎金,类似于我国以往的古董行业,三年不开张,开张吃三年。这类勒索组织只针对少数高价值公司,例如世界财富500企业,深入研究企业可能存在的漏洞与攻击面,一般需要长时间潜伏和打通攻击路径,最后一击致命。为确保被勒索的企业就范,他们在攻击中既会窃取数据,又会加密系统的设备,增加赎金谈判筹码。

而“机会主义”策略则更偏向于中小企业,事实上这也是更多的腰部勒索组织的选择。据据安全公司Orange Cyberdefense发布的Cy-Xplorer 2024报告数据显示,员工少于1000人的中小型企业遭受勒索攻击的可能性是大型企业的4.2倍。

对此,分析师认为,“机会主义”勒索策略盛行的核心原因是,当下企业安全体系防护效果越来越好,大型集团企业的攻击难度过高,所以这些攻击者会将注意力聚焦在那些他们够得着的目标上。由于小企业安全建设并不完善,攻击难度更低,因此成为了“机会主义”的主要受害者。

机会主义的特点是不需要攻击者进行大量前期研究或投入大量资源,可以利用公开的漏洞、弱密码或社会工程学技巧来发起攻击。尽管回报可能低于“大猎杀”策略,但是由于目标数量众多,勒索团伙也能获得不错的回报,且被溯源的可能性更低。

3. AI成为勒索攻击的大杀器

机会主义的盛行并不意味着勒索组织的攻击能力下降,相反自2023年以来,勒索组织一直在尝试借助AI大模型的能力提升勒索攻击能力,降低勒索攻击的门槛与成本。

2024年,勒索组织利用AI的能力有了明显地提升,AI勒索攻击成为一种使用极为广泛且危害巨大的方法。英国国家网络安全中心(NCSC)2024年 1 月发布的一份报告警告称,由于AI的进步以及网络犯罪分子对相关技术的利用,预计未来两年勒索病毒攻击的数量将会增加。

首先,AI大模型可以大大降低勒索攻击的门槛,甚至没有任何基础的攻击者也可以通过AI制造出勒索病毒。

2024 年 5 月,据《日本时事通信社》报道,一名25岁的日本无业男子因利用互联网上公开的生成式AI获取非法程序信息并制作勒索型计算机病毒。这也是日本首个利用生成式人工智能制作计算机病毒的案例。

最关键的是,林琉辉没有任何的IT基础,而是向多个生成式人工智能发出指令,让其提供非法程序信息并制作病毒。他制作的计算机病毒是一种勒索型病毒,包含加密攻击目标数据和索求加密货币的程序。在被警方逮捕后承认,“一直想通过制作勒索病毒来轻松赚钱”。

其次,AI可以提高勒索组织的效率,其中包括制作“诱饵”和开发复杂恶意软件的效率。AI大模型能够快速地生成看似合理且难以区分的欺诈性文本、电子邮件和网站。据OpenAI近日发布的通告,越来越多的黑客和APT组织利用包括ChatGPT在内的AI大模型发起全球性的大规模网络攻击。这些活动既包括部署恶意软件、生成社交媒体账户传记、创建虚假账户、生成照片、文章等。

与此同时我们发现,以WormGPT和FraudGPT为代表恶意AI大模型正受到攻击者的欢迎。据ThreatLabz研究团队发布的报告显示,这些恶意AI大模型使用门槛低,功能十分齐全,可以用于创建,测试一下或优化任何种类的恶意代码,包括恶意软件和勒索软件等。

最后,AI还可以自动化寻找漏洞并制定出相应的攻击方法,这对防护能力较弱、暴露的攻击面较多的企业来说将会形成降维打击。根据OpenAI的报告,伊朗黑客组织Cyber Av3ngers利用大模型ChatGPT策划一系列针对工业控制系统(ICS)和可编程逻辑控制器(PLC)的网络攻击。

在此次行动中,CyberAv3ngers借助AI寻找各种工业设备的默认口令组合,探索约旦等地区使用的工业路由器,并改进用于探测网络漏洞的脚本。包括利用AI协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。

三、越来越严重的数据贩卖

正如上文所说,勒索攻击往往也附带数据泄露与贩卖行为,因此这里不再讨论勒索攻击情况下的数据贩卖黑产,仅从常规网络入侵窃取数据并贩卖的情况进行分析。

近年来,随着科学技术的快速发展与数字化转型进入深水区,数据的价值正在持续上升,自然也就成为黑产严重的摇钱树。2024年,全球数据贩卖黑产呈现出不断增加的趋势,数据泄露事件数量显著增长,不仅对企业业务造成严重影响,并且还会因此被监管机构进行现金处罚。

例如2024年10月,全球酒店巨头万豪酒店因2014年至2020年间导致三次重大泄露的问题,被联邦贸易委员会(FTC)罚款5200万美元(约3.6亿人民币),并被勒令“必须采取措施更好地保护客户的个人信息,让客户对他们的数据有更多的控制权,实施一个全面的信息安全计划,包括多因素认证、加密和其他保障措施等。”

据身份盗窃资源中心(Identity Theft Resource Center, ITRC)2024年7月发布的《2024年上半年数据泄露分析》显示,2024年上半年,共发生了1571起数据泄露事件,较2023年同期的1382起增长了约14%,较2022年同期的817起增长了约92%。受影响的用户数量约为10.79亿,几乎是2023年的6倍, 2022年的17倍。这一趋势表明,数据泄露事件的数量和影响范围都在快速扩大。

一个有意思的现象是,2024年数据泄露事件TOP 10的背后都存在攻击者的身影,换言之即是有黑产主动攻击,并且其中大部分数据都被黑产们通过暗网或者Telegram进行贩卖。具体事件和影响人数如下:

  • Ticketmaster Entertainment泄露事件影响了约5.6亿人;
  • Advance Auto Parts事件波及约3.8亿人;
  • Dell Technologies事件则涉及了4900万人;
  • loanDepot泄露事件影响了约1692万人
  • Kaiser Foundation Health Plan事件涉及1340万人;
  • 美国环境保护署(EPA)事件波及846万人;
  • Infosys McCamish Systems LLC事件影响607万人;
  • Omni Hotels and Resorts事件影响350万人;
  • Financial Business and Consumer Solutions事件波及343万人;
  • A&A Services dba Sav-Rx事件影响281万人;

ITRC报告进一步指出,在上半年发生的1571起数据泄露事件中,有1226起事件是网络攻击导致,较2023年(1035起)增长了18%,较2022(730起)年增长了68%,连续三年成为导致数据泄露事件的主要原因。

网络攻击类型中,造成数据泄露事件的主要网络攻击向量包含未指定、网络钓鱼/短信钓鱼/商业邮件入侵、勒索软件、恶意软件等。其中,未指定的攻击向量839起,占比高达68%,较2023年增长63%,较2022年增长了1.7倍,这表明黑产的攻击技术正在不断复杂化,许多攻击手段难以被准确分类或识别。

行业方面,金融服务业和医疗行业是2024年网络攻击的重灾区,大量数据被黑产们在暗网上售卖。IBM发布的《2024年数据泄露成本报告》也佐证了这一点,医疗行业和金融行业泄露成本分别为977万美元和608万美元,远高于其他行业。

国内情况也是如此。正如文章开头所提及的,2024年上半年监测到3.4万个黑产团伙中,经分析验证涉及真实数据泄露事件的黑产团伙共计1973个,较2023年下半年增新增984个,增长近一倍。黑产团伙的猖獗程度可见一斑,也是造成数据泄露的核心因素。

需要注意的是,威胁猎人在针对黑产数据交易市场研究发现,2024年上半年利用Facetime诈骗活动增多,2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起,较2023年下半年增加8倍之多。

除了企业防护不足,存在弱口令/人员安全意识薄弱等客观因素外,从攻击者的视角出发,黑产团伙最常用的入侵方式是“漏洞利用”。

据Verizon发布的《2024年数据泄露调查报告》显示,漏洞是数据数据泄露的主要突破口,与2023年相比,漏洞利用增加近180%。这一激增的原因与众所周知且影响深远的MOVEit和其他零日漏洞息息相关。

需要强调的是,黑产团伙利用漏洞的速度远比我们想象中要快的多,更是远远超过企业修复漏洞速度。

报告数据分析同时揭示了许多企业组织的一个重要弱点——不法分子利用漏洞的速度比组织修补漏洞的速度更快。数据显示,新漏洞经公开披露后,平均攻击发起时间已不足5天,攻击者针对最新公开披露的漏洞利用速度呈加快趋势。而根据Verizon统计的数据,企业平均需要大约55天才能修复其中一半的漏洞,修复速度过于缓慢。

事实上,攻击者不光在新漏洞利用上速度飞快,同样也喜欢利用老漏洞,安全公司FortiGuard Labs数据显示,攻击者正持续利用已公开披露超15年的漏洞,核心原因是部分企业长时间不对漏洞进行修复。

Fortinet发布的报告印证了该观点,数据显示,41%的受访组织基于漏洞签名成功检测出潜藏1个月以内的漏洞,而几乎所有受访组织(98%)均挖掘出潜藏至少5年之久的N日漏洞。这也是黑产团伙对旧漏洞爱不释手的原因。

四、结语

随着企业朝着数字化/智能化的方向演进,近年来勒索攻击和数据贩卖等黑产活动呈现出专业化、团队化、智能化的发展趋势,各种新型且极具杀伤力的攻击方法层出不穷,例如供应链攻击/多重勒索模式/AI驱动等,对于各种漏洞的利用愈来愈纯熟,攻击路径呈现出多元化趋势,给全球网络安全带来了前所未有的挑战。

另外一个更糟糕的事实是,经过多年的探索与运营,暗网的运作也越来越趋于稳定,并成为黑产的“关键基础设施”。即便全球政府加大了对暗网的打击力度,但效果并没有想象中的好。

据《2023 年暗网价格指数》披露的数据,2022 年和 2023 年初,执法部门查封了许多大型暗网市场,但这并没有减少暗网上非法商品和服务的供应,新的网站和论坛几乎在一夜之间就建立起来,并很快填补了当局关闭网站所留下的空白,暗网价格指数几乎没有受到影响。

暗网趋于稳定,则黑产团伙们就具有稳定的销赃和资源补充渠道,必定会进一步刺激更多的黑产持续向企业发起网络攻击,以获取更多的经济利益。

基于此,企业安全防护或许也应该转变思路,从黑产/攻击者的视角出发,不再追求安全设备的堆砌,以实际安全效果为导向,真正提升企业应对威胁的能力。

文章来源:Freebuf,作者:流苏,若有侵权请联系我们删除。

相关新闻

联系我们

联系我们

18055100335

在线咨询:点击这里给我发消息

邮件:support@anyong.net

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
关注微信
SHARE
TOP